Datenschutzverstöße sind keine Kavaliersdelikte. Datenschutz-Compliance ist kein „nice to have“, sondern spätestens seit Geltung der DSGVO von allen Unternehmen und Unternehmern umzusetzendes Recht. Bei Datenschutzverstößen drohen erhebliche, teils existentielle Bußgelder. Informieren Sie sich in diesem DSGVO FAQ zu den datenschutzrechtlichen Anforderungen, die aufgrund der Vorschriften der DSGVO von allen Unternehmen und Unternehmern einzuhalten sind.
Die DSGVO (Europäische Datenschutzgrundverordnung) ist eine europäische Verordnung, die das Ziel hat, die rechtlichen Rahmenbedingungen im Bereich Datenschutz europaweit zu harmonisieren und in allen EU-Staaten ein einheitliches und zugleich hohes Datenschutzniveau sicherzustellen. Die DSGVO gilt unmittelbar in allen EU-Staaten wie innerstaatliches Recht. Die europäische Datenschutz-Grundverordnung ist in allen EU-Ländern direkt anwendbar und hat dabei Vorrang vor nationalen Gesetzen.
Die EU-Datenschutz-Grundverordnung (DSGVO) ist als Rechtsvorschrift seit dem 24.5.2016 in Kraft und gilt verbindlich seit dem 25.5.2018. Seit diesem Stichtag müssen die Regelungen der DSGVO im Unternehmen umgesetzt und angewendet werden.
Daneben ist mit gleichem Datum in Deutschland ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Dieses ergänzt die Datenschutzgrundverordnung an einigen Stellen, an denen die europäische Verordnung Öffnungsklauseln für den nationalen Gesetzgeber enthält. Beispielsweise regelt das neue Bundesdatenschutzgesetz die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, also praktisch jedes Unternehmen einschließlich Selbstständiger, Startups und Einzelunternehmer. Sie betrifft alle Unternehmen und Unternehmer unabhängig von der Betriebsgröße, unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Umsatz des Unternehmens. Sie gilt sowohl für Unternehmen mit Niederlassung in der EU, aber auch Unternehmen mit Sitz außerhalb der EU.
Bei Datenschutzverletzungen drohen erhebliche Bußgelder und andere Sanktionen. Im Vergleich zu den Bußgeldvorschriften des früheren Bundesdatenschutzgesetzes (vor dem 25.5.2018) sind die Bußgeldvorschriften der DSGVO ab dem 25.5.2018 erheblich verschärft worden. Es können je nach Art, Umfang und Schwere des Verstoßes Bußgelder bis zur Höhe von 20 Millionen € oder alternativ bis zu 4 % des Konzernumsatzes verhängt werden.
Daneben können die zuständigen Datenschutzbehörden auch weitere Sanktionen und Maßnahmen, wie beispielsweise eine Betriebsstilllegung veranlassen, Geschäftsräume betreten, anordnen, dass Daten zu löschen sind oder die Datenverarbeitung untersagen.
⇒ Es ist daher jedem Unternehmen und Unternehmer (einschließlich Freiberufler, Selbstständige und Kleinunternehmer) dringend anzuraten, die datenschutzrechtlichen Pflichten umzusetzen bzw. einzuhalten. Rufen Sie an und lassen Sie sich von unseren Anwälten beraten!
Verstöße gegen die DSGVO können ferner gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen. Folglich drohen wettbewerbsrechtliche Ansprüche der Konkurrenz. Datenschutzrechtliche Verstöße können nach den Vorgaben der DSGVO von Mitbewerbern abgemahnt werden. Sie können also von Konkurrenten auf Beseitigung, Unterlassung und Erstattung der gegnerischen Anwaltsgebühren in Anspruch genommen werden.
⇒ Auch deshalb ist jedem Unternehmen undbzw. Unternehmer dringend anzuraten, die datenschutzrechtlichen Pflichten aus der DSGVO und aus dem BDSG einzuhalten.
Die DSGVO nennt in Art. 5 DSGVO die sog. Datenschutzgrundsätze. Hierzu gehören beispielsweise:
Da datenverarbeitende Prozesse, die personenbezogene Daten zum Gegenstand haben, generell unzulässig sind, bedarf es immer einer gesetzlichen Erlaubnis oder einer Einwilligung, um eine Verarbeitung personenbezogener Daten durchführen zu dürfen (sog. Verbot mit Erlaubnisvorbehalt).
Die DSGVO kennt unterschiedliche Erlaubnistatbestände wie beispielsweise:
Wenn einer dieser Erlaubnistatbestände erfüllt ist bzw. eine wirksame Einwilligung vorliegt, kann die Datenverarbeitung zulässig sein. Einwilligungen müssen allerdings immer dokumentiert und nachgewiesen werden können. Problematisch an Einwilligungen ist ferner, dass diese jederzeit ohne Grund für die Zukunft widerrufen werden können.
Jedes Unternehmen beziehungsweise jeder Unternehmer, der unter die Datenschutz-Grundverordnung fällt, ist unabhängig von der Größe des Unternehmens und unabhängig von der Mitarbeiterzahl im Hinblick auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten im Unternehmen verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die DSGVO gilt diesbezüglich seit dem 25.5.2018 und zwar nicht erst ab einer Mitarbeiterzahl von 250 Mitarbeitern.
In dem Verzeichnis der Verarbeitungsvorgänge muss unter Anderem angegeben werden, welchen Zweck die Datenverarbeitung hat, auf welcher Rechtsgrundlage der Verarbeitungsprozess stattfindet und welche technischen und organisatorischen Maßnahmen ergriffen wurden, um die Datensicherheit bzw. ein angemessenes Datenschutzniveau zu gewährleisten. Zudem müssen dort Angaben dazu gemacht werden, wann die Daten gelöscht werden beziehungsweise gelöscht werden müssen (sog. Löschfristen).
Den Unternehmer trifft nach der DSGVO hinsichtlich des Vorhandenseins und der Vollständigkeit der Verfahrensverzeichnisse eine Dokumentations- und Nachweispflicht.
Das Verfahrensverzeichnis sollte, wenn noch nicht geschehen, unverzüglich und vollständig erstellt werden, um dieses im Falle einer Anfrage der zuständigen Datenschutzbehörde vorlegen zu können (Nachweispflicht).
Neben der Einhaltung der der datenschutzrechtlichen Anforderungen durch Implementierung von Prozessen zur Sicherstellung der DSGVO-Compliance müssen Unternehmen den Betroffenen, wenn personenbezogene Daten erhoben werden, „zum Zeitpunkt der Erhebung“ ungefragt und „leicht verständlich“ über den Zweck sowie über die Rechtsgrundlage informieren und ihn auf seine Betroffenenrechte (z. B. das Widerspruchsrecht) hinweisen.
Dies führt dazu, dass Unternehmen Betroffene z. B. schon bei der Vertragsanbahnung, wenn dort Daten erhoben werden, rechtzeitig mittels einer geeigneten DSGVO-kompatiblen Datenschutzerklärung informieren müssen und auch ihre Datenschutz-Erklärungen auf Internetseiten und Onlineshops entsprechend neugestalten bzw. anpassen müssen.
Nach der DSGVO stehen Betroffenen gegenüber der verarbeitenden Stelle weitgehende Rechte zu, die teilweise innerhalb bestimmter Fristen erfüllt werden müssen. Hierzu gehören beispielsweise:
Da die Rechte, wenn sie von den Betroffenen ausgeübt werden, unverzüglich bzw. innerhalb bestimmter Fristen erfüllt werden müssen, bedarf es im Unternehmen entsprechender Prozesse, um einzelnen Aufforderungen zeitnah nachkommen zu können.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in der DSGVO nicht generell geregelt und gilt daher nicht in allen EU-Mitgliedstaaten gleichermaßen. In Deutschland regelt § 38 Abs. I BDSG-neu eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen vorliegen.
Danach sind Unternehmen beispielsweise dann verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn dort ständig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder, wenn in einem Unternehmen personenbezogene Daten „geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden oder, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO bzw. § 7 BDSG genannten Aufgaben. Es darf dabei keinen Interessenskonflikt mit der regulären Tätigkeit des Datenschutzbeauftragten bestehen.
In der Regel handelt es sich bei Verträgen mit Cloud-Anbietern um eine sog. Auftragsdatenverarbeitung, die immer dann vorliegt, wenn ein Dienstleister im Auftrag eines Unternehmens (so genannte verantwortliche Stelle) weisungsgebunden Daten verarbeitet. Dies kann beispielsweise bei einem externen Hosting von Daten (Emailprovider, Cloud-Anbieter, Backup etc.) oder bei einem externen E-Mail-Newsletter-Versand über einen Dienstleister der Fall sein. Es trifft immer dann zu, wenn ein Unternehmen Daten an einen Dritten weitergibt und der Dritte für den Auftraggeber eine Datenverarbeitung durchführt, also z. B. auch bei der Verwendung von Software-Dokumentenmanagementsystemen, wenn die Datenbank beim Softwareanbieter gehostet wird sowie bei der Verwendung von Google Analytics.
Bestehende Auftragsdatenverarbeitungsverträge müssen in der Regel an die DSGVO angepasst werden. Dabei ist auch zu berücksichtigen, dass künftig auch der Auftragnehmer (Auftragsverarbeiter) eigenen gesetzlichen Pflichten nach der Datenschutz-Grundverordnung (DSGVO) unterliegt (z. B. Dokumentationspflicht, Meldepflicht bei Datenpannen etc.) und entsprechend haftet.
Das Problem mit einer Datenverarbeitung durch US Unternehmen (zum Beispiel sog. Cloud-Anwendungen, bei denen die Server in den USA stehen) liegt darin, dass der Datenschutzstandard in den USA erheblich niedriger ist als in der EU (auf Grundlage der DSGVO) und, dass deshalb die datenschutzrechtlichen Verpflichtungen, die in der EU bestehen bei einer Übermittlung der Daten in ein Land außerhalb der EU bzw. des EWR nicht immer gewährleistet sind. In den USA kommt hinzu, dass staatliche Behörden aufgrund der dortigen Anti-Terror-Gesetzes umfassende Zugriffsmöglichkeiten auf personenbezogene Daten haben.
Daher muss in diesen Fällen mit dem Auftragsverarbeiter idealerweise eine vertragliche Vereinbarung getroffen werden, wonach die Daten innerhalb der EU gehostet und nicht in die USA übermittelt werden. Datenverarbeitungen auf Grundlage des sog. Privacy Shield sind nach den Vorgaben des EuGH nicht DSGVO-konform (EuGH, Urteil vom 16.07.2020, Aktenzeichen C 311/18 – „Schrems“). Hier sollte unbedingt die aktuelle Gesetzesentwicklung auf europäischer Ebene beobachtet werden, da Verordnungen geplant sind, die dies künftig detailliert regeln sollen.
Es wird ausdrücklich darauf hingewiesen, dass es sich bei dem Beitrag „DSGVO FAQ“ und den darin enthaltenen Fragen und Antworten um allgemeine Aussagen zu den Themen DSGVO und Datenschutzrecht handelt. Die in diesem Beitrag zur Verfügung gestellten Informationen sind für informationelle Zwecke gedacht und ersetzen keine individuelle rechtliche bzw. anwaltliche Beratung. In unseren DSGVO FAQ können nicht alle Rechtsfragen zu den Themen DSGVO und Datenschutzrecht abschließend beantwortet werden. Die Antworten sind zudem nicht auf jeden Einzelfall übertragbar. Deshalb ist zur Beurteilung individueller rechtlicher Fragestellungen und Probleme immer eine individuelle, qualifizierte anwaltliche Beratung empfohlen. Das FAQ kann eine fachkundige datenschutzrechtliche Beratung im Einzelfall nicht ersetzen.
Wir freuen uns über Ihre Anfrage und melden uns schnellstmöglich bei Ihnen!
Informationen zu unserer Datenschutzberatung
Informationen zum Thema Datenschutzschulung
Informationen zum Auskunftsanspruch nach der DSGVO
Informationen zu unseren allgemeinen Leistungen im Bereich Datenschutzrecht